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摘 要 : 


[目的 /意义 ] 通 过 分 析 欧 盟 《 一 般 数据 保护 条 例 》(GDPR ) 相关 规定 来 为 我 国 科 学 数据 开放 共享 过 程 中 保护 个 人 


数据 提供 参考 。[ 方 法 /过 程 ] 使 用 文本 分 析 法 ,在 述评 GDPR 与 个 人 数据 保护 研究 后 ,分 析 GDPR 对 科学 数据 开 
放 共 享 个 人 数据 保护 的 适用 性 与 作用 及 其 对 我 国 科 学 数据 开放 共享 个 人 数据 保护 的 启示 。[ 结果 /结论 ] GDPR 
对 科学 数据 开放 共享 个 人 数据 保护 有 许多 规范 作用 ,包括 可 以 明确 个 人 数据 保护 的 基本 概念 与 保护 对 象 范围 、 主 
要 原则 、 数 据 主体 的 主要 权利 、 数 据 控 制 者 与 处 理 者 的 主要 责任 和 义务 ,可 以 黄 定 个 人 数据 处 理 的 合法 性 基础 。 


jū 


: 10. 13266/j. issn. 0252 - 3116. 2020. 22. 005 


GDPR 给 我 国 的 启示 是 :我 们 应 该 建立 健全 我 国 个 人 数据 保护 法 律 体系 ,加 强 科学 数据 开放 共享 中 个 人 数据 的 风 
险 管 理 , 搭 建 动态 关联 、 可 跟踪 的 科学 数据 开放 共享 系统 ,由 此 实现 我 国 科 学 数据 开放 共享 中 的 个 人 数据 保护 。 
科学 数据 开放 共享 数据 保护 个 人 数据 GDPR 
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CO 随 着 大 数据 互联 网 云 计算 , 物 联网 的 发 展 ,数据 
龙 训 是 个 人 数据 在 越 来 越 便利 地 被 收集 和 传输 的 同 
cz ilr d RUM. DT DEBER M RER 
原 海 保护 框架 的 乏力 ,欧盟 于 2018 年 5 25 日 正式 
35i 一 般 数 据 保 护 条 例 》( General Data Protection 
Réfülation, GDPR) ?' ,开创 了 个 人 数据 保护 的 欧盟 模 


式 和 通用 规则 ” ,是 否 适 用 于 科学 数据 开放 共享 中 的 
个 人 数据 保护 ? 到 底 有 何 作 用 ? 我 国 如 何 借鉴 CDPR 
来 加 强 科学 数据 开放 共享 中 的 个 人 数据 保护 ?解析 与 
回答 这 些 问题 ,将 有 助 于 促进 我 国 科 学 数据 开放 共享 


1 相关 研究 述评 


式 过 随后 巴西 和 美国 加 州 借鉴 该 条 例 分 别 制定 了 《 
般 数据 保护 法 案 》( 加 利 福 尼 亚 州 消费 者 隐私 保护 法 
R) 。2020 年 3 月 ,我 国 更 新 完善 后 的 《信息 安全 技 
术 个 人 信息 安全 规范 》 旨 在 进一步 遏制 个 人 信息 非法 
收集 滥用、 泄漏 等 乱 象 ,最 大 程度 地 保障 个 人 的 合法 
权益 和 社会 公共 利益 "。 我 国 的 (个 人 信息 保护 法 》 
也 已 进入 立法 阶段 ”。 同 时 ,人 们 已 经 认识 到 科学 数 
据 共 享 及 再 利用 具有 促进 科学 进步 与 创新 ,节约 研发 
成 本 、 再 现 科学 研究 等 重要 价值 9” 。 而 科学 数据 中 往 
往 包 含 个 人 信息 ,尤其 是 在 心理 学 ,临床 医学 .人 类 学 、 
遗传 学 等 领域 ” 。 如 何在 科学 数据 开放 共享 的 同时 保 
护 个 人 数据 成 为 数据 治理 领域 中 的 一 个 重要 议题 。 
GDPR 作为 目前 世界 上 采用 最 广泛 的 个 人 数据 保护 模 


E] 
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近 几 年 来 ,国内 外 对 GDPR 及 其 个 人 数据 保护 做 
了 大 量 研 究 。 这 些 研 究 除 了 介绍 GDPR 的 产生 背 
景 ” 演进 过 程 “"” ,应 用 范围 ,技术 与 组 织 要求 ” 、 
关键 业务 "” 结构 章节 与 内 容 ” 等 外 ,还 论述 了 如 下 
研究 主题 :四 CDPR 对 个 人 数据 保护 的 影响 。GDPR ji 
望 用 “无 争议 同意 ”与 “明确 同意 ”的 区 分 作为 保护 个 
人 数据 的 重要 手段 , 即 明 确 规定 ,个 人 数据 需要 获得 数 
据 主 体 的 “无 争议 同意 ” ,敏感 数据 则 需要 获得 数据 主 
体 的 “明确 同意 ”1 E GDPR 实施 一 年 后 ,欧盟 成 员 
到 家 的 数据 保护 机 构 一 直 在 努力 执行 CDPR 核心 原 
则 , 即 负责 和 透明 地 处 理 和 保护 个 人 数据 ” 。 毋 庸 置 
疑 ,GDPR 为 其 他 国家 进行 个 人 数据 保护 立法 树立 了 
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一 个 很 好 的 典范 ,具有 许多 积极 意义 ,包括 :GDPR 影 
响 司法 审判 管辖 ,扩大 数据 保护 法 律 域外 效力 ,为 数据 
跨 境 传输 的 国际 共识 提供 规则 指引 ,促使 世界 其 他 地 
区 健全 数据 保护 立法 58 9;GDPR 扩张 了 个 人 数据 保 
护 适 用 范围 ,扩大 了 数据 主体 的 权利 ,加 重 了 数据 控制 
者 和 处 理 者 的 义务 ,强化 个 人 数据 的 监管 和 救济 机 
制 ;GDPR 弥补 了 一 些 法 律 漏洞 ,个 人 因而 能 够 更 好 
地 控制 自己 的 个 人 数据 ,同时 对 于 企业 之 间 良 好 竞争 
环境 的 营造 也 大 有 禅 益 ; GDPR 既 保 证 了 成 员 国 监管 
机 构 之 间 更 高 效 的 合作 ,又 使 得 企业 与 监管 机 构 的 沟 
通 更 为 方便 ,个 人 在 数据 面临 侵害 时 也 有 了 有 效 的 维 
权 方式 。 但 是 ,CDPR 还 存在 着 问题 与 争议 ,包括 :其 
某 些 制度 (如 知情 同意 制度 等 ) 存在 缺陷 、 某 些 问题 界 
冠 下 明晰 .GDPR 的 执行 效果 还 存在 疑问 、 存 在 如 何平 
得 信人 数据 保护 与 其 他 法 益 之 间 的 问题 "9 。@®GDPR 
SER Aic p 的 重点 领域 或 主题 。GDPR 涉及 个 
人 要 据 保护 的 方方面面 ,但 重点 是 强化 数据 主体 对 于 
类 弓 的 控制 权 , 即 数 据 的 人 格 权 与 财产 权 保 护 忠 ; 倡 
导 建 立 数据 保护 官制 度 来 实施 个 人 数据 的 保护 n 
范 守 路 境 流动 数据 保护 0 ,数据 可 携带 权 !” .数据 被 
MU ”等 核心 问题 。@)GDPR 在 不 同 领域 个 人 数 
ARP 应 用 研究 。 这 包括 患者 隐私 保护 2 、 跨 境 数 
据 流通 与 保护 数据 保护 影响 评估 3、 科研 数据 
出 三 中 的 数据 保护 问题 "5 ,智慧 图 书馆 用 户 数据 隐私 
finn , 物 联网 对 数据 控制 者 和 加 工 者 的 数据 保护 ™ 

全 @CDPR 对 我 国 个 人 数据 保护 的 启示 。 主 要 包 
后 5 我 国 应 借鉴 欧盟 (通用 数据 保护 条 例 》 立 法 理念 ， 
从 轩 律 .社会 治理 以 及 信息 产业 等 维度 构建 个 人 信息 
双轨 保护 制度 5; ;我 国 应 该 借鉴 效果 原则 的 立法 思 
路 ,确立 场景 化 和 技术 化 的 数据 保护 理念 ,合理 地 引信 
“ 搬 销 同意 "模式 ,发 挥 事前 监管 和 救济 的 作用 5 ,我 
国立 法 应 构建 信息 主体 .其 他 自然 人 、 国 家 机 关 、 企 业 
四 方 主体 共享 的 个 人 信息 权益 体系 ,以 妥善 解决 各 方 
主体 之 间 的 权益 冲突 ;我 国 应 该 构建 基于 GDPR 的 
个 人 数据 保护 企业 自 评 指标 体系 5 ;我 们 应 该 认识 
到 ,尽管 GDPR 规范 了 欧盟 个 人 数据 保护 ,但 欧盟 与 中 
国 分 享 个 人 数据 具有 挑战 性 , 目前 仅 能 分 享 匿名 数据 
或 获得 数据 主体 同意 的 数据 ” 。 总 之 , GDPR 是 个 人 
数据 保护 的 一 种 法 律 框架 ,规定 了 在 其 适用 范围 内 处 
理 个 人 数据 时 必须 采用 的 关键 原则 和 保障 措施 ,对 我 
国 实施 个 人 数据 保护 有 重要 的 参考 价值 。 不 过 ,目前 
鲜 见 GDPR 在 科学 数据 开放 共享 个 人 数据 保护 中 的 相 


关 研 究 , 尽管 人 们 发 现 , GDPR 在 处 理 遗 传 数据 共 
UP " 床 医学 研究 ”等 方面 都 产生 了 广泛 影响 。 


2 GDPR 对 科学 数据 开放 共享 个 人 数据 
保护 的 适用 性 分 析 


科学 数据 开放 共享 旨 在 促使 科学 数据 不 受 限 制 地 
被 获取 和 再 利用 ,以 实现 科学 数据 价值 最 大 化 和 促进 
开放 研究 与 开放 创新 。 它 将 科学 数据 置 于 开放 环境 ， 
要 求 个 人 或 机 构 在 开放 科学 数据 时 必须 按照 相应 的 规 
范 和 采取 适当 的 措施 来 实施 数据 保护 。 数 据 保护 是 指 
实施 适当 的 行政 .技术 或 物理 措施 ,将 未 经 授权 或 意外 
造成 的 数据 泄露 的 风险 或 损害 最 小 化 。 个 人 数据 
保护 旨 在 保护 公民 的 权利 .个 人 数据 完整 性 和 个 人 隐 
TA 7^ ,不 仅 涉及 相关 的 法 律 法规、 政策 ,还 涉及 收集 、 
存储 ,处理 数 据 的 技术 与 系统 等 ”。GDPR 是 否 适用 
于 科学 数据 开放 共享 个 人 数据 保护 ?要 回答 此 问题 ， 
需要 了 解 GDPR 的 结构 与 内 容 。 
2.1 GDPR 结构 与 内 容 

GDPR 是 一 部 庞大 、 复 杂 的 数据 保护 法 ,在 结构 上 
分 法 释 (recitals, 共 173 条 ) 和 正文 ( 共 11 章 .99 条) 两 
部 分 , 共 88 页 , 约 55 000 字 。GDPR 可 为 保护 欧洲 人 
的 个 人 数据 以 及 促进 一 系列 合法 目的 负责 任 的 数据 处 
理 提 供 一 个 全 面 的 法 律 框架 。 IE cia 
集 、 使 用 和 共享 个 人 数据 的 方式 。 正 文 包括 如 下 11 
EAR”: O-A, HiT GDPR 所 涉及 的 主要 事 
项 与 目标 .适用 范围 地域 管 辖 范围 以 及 相关 概念 的 定 
义 ;@ 原 则 ,明确 了 个 人 数据 保护 的 7 项 原则 一 一 “ 合 
法 性 合理 性 和 透明 性 原则 “目的 限制 "原则 “数据 
最 小 化 ?原则 “准确 性 "原则 “存储 限制 "原则 “完整 
性 与 保密 性 "原则 “责任 性 "原则 ;@@ 数 据 主体 的 权 
利 ,规定 了 数据 主体 拥有 的 7 项 权利 ;@ 控 制 者 和 处 理 
者 ,规定 了 数据 控制 者 和 处 理 者 的 责任 ;@ 将 个 人 数据 
转移 到 第 三 国 或 国际 组 织 ,规定 了 将 个 人 数据 转移 到 
第 三 国 或 国际 组 织 的 要 求 ;@ 独 立 监管 机 构 ,规定 了 监 
管 机 构 的 独立 性 地 位 .一 般 要 求 、. 职 权 、 任 务 与 权力 等 ; 
@ 合 作 与 融 贯 性 ,规定 了 领导 性 监管 机 构 和 其 他 相关 
监管 机 构 的 合作 ,协助 与 联合 行动 以 及 一 致 性 解决 办 
法 ;@ 救 济 .责任 与 惩罚 ,规定 了 数据 主体 向 监管 机 构 
进行 申诉 的 权利 ,针对 监管 机 构 .控制 者 或 处 理 者 的 有 
效 司 法 救济 权 ,获取 赔偿 的 权利 与 责任 ,行政 罚款 的 一 
般 条 件 等 ;@) 与 特定 处 理 情形 相关 的 条 款 ,规定 了 处 
理 .表达 自由 与 信息 ,为 了 实现 公共 利益 、 科 学 或 历史 
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研究 或 统计 目的 处 理 中 的 安全 保障 和 减损 等 ;四 授权 
法 案 与 实施 性 法 案 ,规定 了 对 授权 的 行使 .委员 会 程 
序 ;四 最 后 条 款 ,明确 了 95/46/EC 指令 的 废止 .和 之 前 
已 经 达成 的 协议 的 关系 委员 会 的 报告 义务 .生效 与 适 
用 等 内 容 。 

2.2. GDPR 对 科学 数据 开放 共享 个 人 数据 保护 的 适 
用 性 解析 

GDPR 涉及 个 人 数据 保护 的 方方面面 ,强化 了 数 
据 主体 对 于 数据 的 控制 权 , 明 确 个 人 数据 保护 的 一 些 
概念 原则、 权利 责任 ,监管 要 求 ,同样 适用 于 科学 数 
据 开放 共享 中 的 个 人 数据 保护 。 这 主要 体现 在 如 下 4 
个 方面 : 
(1) 科 学 数据 开放 共享 中 的 个 人 数据 属于 GDPR 
处 于 的 保护 对 象 范畴 。GDPR 第 2 条 “适用 范围 "第 1 
款 塌 定 , “本 条 例 适 用 于 全 部 或 部 分 以 自动 方式 的 个 人 
问 刻 处 理 ,以 及 除 自动 方式 外 的 其 他 方式 的 个 人 数据 
人 处 圣 , 这 些 个 人 数据 构成 存档 系统 的 一 部 分 或 旨 在 构 
成 各 机 系统 的 一 部 分 ”这 里 , “个 人 数据 "是 指 与 已 
训 [ 或 可 识别 的 自然 人 (“ 数 据 主体 ") 相关 的 任何 信 
乱 沪 -个 可 识别 的 自然 人 是 一 个 能 够 被 直接 或 间接 识 
别 请 个 体 ,特别 是 通过 姓名 身份 编号 ` 位 置 数据 ` 在 线 
杯 演 符 或 者 自然 人 所 特有 的 一 项 或 多 项 的 物理 .生理 、 
遗 错 ,心理 经济、 文化 或 社会 性 身份 上 。 根 据 GDPR 
j 囊 人 数据 的 定义 ,可 以 发 现 ,个 人 数据 既 包 括 可 直接 
识别 出 数据 主体 的 信息 (如 姓名 ) ,又 包括 通过 结合 其 
他 自 息 而 间接 识别 数据 主体 的 信息 (如 电话 号 码 .护照 
号 入 .生物 特征 等 )”” 。 科 学 数据 开放 共享 中 的 个 人 
数据 属于 GDPR 界定 的 个 人 数据 范畴 ,通常 以 实验 , 测 
量 \ 现 场 观 察 .调查 结果 、 采 访 记录 和 图 像 等 形式 出 
现 ” ,所 以 GDPR 可 以 用 来 规范 与 保护 开放 共享 中 的 
个 人 数据 。 

(2) 科 学 数据 开放 共享 是 一 种 特殊 的 数据 "处 理 ” 
活动 ,可 以 纳入 GDPR 界定 的 “处 理 "活动 范畴 ,因而 能 
够 受到 GDPR 的 保护 。GDPR 第 4 条 “定义 "第 2 款 规 
定 :““ 处 理 ' 是 指 任何 一 项 或 多 项 针对 单一 个 人 数据 
或 系列 个 人 数据 所 进行 的 操作 行为 ,不 论 该 操作 行为 
是 否 采取 自动 化 方式 ,如 收集 .记录 .组 织 .构造 .存储 、 
调整 或 更 改 .检索 .咨询 .使 用 .通过 传输 而 公开 ,传播 
或 以 其 他 方式 利用 、 排 列 或 组 合 .限制 .删除 或 销 
毁 。” 中 科学 数据 开放 共享 是 一 类 特殊 的 数据 处 理 活 
动 。 因 为 在 科学 数据 开放 共享 中 ,无 论 是 科研 人 员 进 
行 的 数据 收集 、 记 录 、 存 储 、 汇 交 、 上 传 等 行为 ,还 是 使 


者 访问 、 获 取 \ 传 输 、 再 利用 等 行为 均 构 成 对 个 人 数 
据 的 处 理 。 换 言 之 ,个 人 数据 的 处 理 贯穿 整个 科学 数 
据 开放 共享 价值 链 的 全 过 程 。 因 此 ,GDPR 适用 于 科 
学 数据 开放 共享 中 的 个 人 数据 保护 。 

(3) GDPR 的 “地 域 范 围 "已 经 超过 了 欧盟 成 员 
的 地 理 边界 ,适用 于 开放 共享 环境 。GDPR 第 3 条 “地 
域 范围 "规定 :“@ 本 例 适用 于 在 欧盟 内 部 设立 的 数 
据 控制 者 或 处 理 者 对 个 人 数据 的 处 理 , 不 论 其 实际 数 
据 处 理 行为 是 否 在 欧盟 内 进行 。 包 本 条 例 适 用 于 如 下 
相关 活动 中 的 个 人 数据 处 理 , 即 使 数据 控制 者 或 处 理 
者 不 在 欧盟 设立 :(a) 为 欧盟 内 的 数据 主体 提供 商品 或 
服务 一 一 不 论 此 项 商品 或 服务 是 否 要 求 数据 主体 支付 
对 价 ; 或 (b) 对 发 生 在 欧洲 范围 内 的 数据 主体 的 活动 
进行 监控 。@) 本 条 例 适 用 于 在 欧盟 之 外 设立 ,但 基于 
国际 公法 成 员 国 的 法 律 对 其 有 管辖 权 的 数据 控制 者 的 
个 人 数据 处 理 。” 上 述 3 个 条 款 特别 是 第 3 款 ,实质 上 
把 开放 共享 的 个 人 数据 纳入 保护 范围 ,不 管 该 数据 控 
制 者 是 否 在 欧盟 之 内 。 

(4) GDPR 能 够 为 科学 研究 提供 个 人 数据 保护 , 实 
质 上 也 能 为 科学 数据 开放 共享 提供 个 人 数据 保护 。 
GDPR 不 包含 科学 研究 的 正式 定义 ,从 广义 的 研究 概 
念 出 发 ,指出 “应 以 广泛 的 方式 ,包括 诸如 技术 开发 和 
展示 基础 研究 .应 用 研究 和 私人 资助 研究 ,来 解释 为 
科学 研究 目的 个 人 数据 的 处 理 "” 。GDPR 在 法 释 的 
7B 26 2& .98 33 条 等 14 处 以 及 正文 中 第 5 条 、 第 89 条 
等 6 处 ,都 提 到 与 “研究 ”相关 的 规制 。 例 如 ,第 156 条 
法 释 规 定 ””:“ 为 了 公共 利益 的 存档 目的 、 科 学 或 历史 
研究 目的 或 统计 目的 而 处 理 个 人 数据 ,应 根据 本 条 例 ， 
对 数据 主体 的 权利 和 自由 给 予 适当 保障 。 欧 盟 成 员 
应 为 为 了 公共 利益 的 存档 目的 、 科 学 或 历史 研究 目的 
或 统计 目的 而 处 理 个 人 数据 提供 适当 保障 。 这 意味 
着 ,为 科学 或 历史 研究 目的 处 理 个 人 数据 时 应 保障 数 
据 主 体 的 权利 和 自由 ,欧盟 成 员 国 应 为 此 提供 适当 保 
障 。 又 如 ,正文 第 89 条 第 1 款 规 定 ”: “为 了 公共 利益 
的 存档 目的 、 科 学 或 历史 研究 目的 或 统计 目的 进行 的 
数据 处 理 ,应 当 为 数据 主体 的 权利 与 自由 采取 符合 本 
条 例 的 适当 保障 措施 。 应 当 采 取 技 术 与 组 织 性 措施 以 
确保 遵守 数据 最 小 化 原则 。 这 些 措施 可 以 包括 化 名 。” 
正文 第 89 条 第 2 款 规定 ”:“ 在 为 科学 或 历史 研究 目 
的 或 统计 目的 处 理 个 人 数据 时 ,欧盟 或 成 员 国 的 法 律 
可 以 按照 第 89 条 第 1 款 所 规定 的 情形 与 保 隐 措施 对 
78 15,16,18,21 条 所 规定 的 权利 进行 克 减 ,如 果 此 类 
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权利 可 能 彻底 阻碍 或 严重 阻碍 实现 上 述 特 殊 目 的 , 且 
此 类 克 减 对 于 实现 这 些 目 的 是 必要 的 ”这 两 项 条 款 实 
质 上 不 仅 要 求 为 科学 或 历史 研究 目的 进行 的 数据 处 理 
提供 适当 保障 措施 ,而 且 可 以 获得 数据 主体 访问 权 \ 修 
正 权 限制 处 理 权 、 反 对 权 的 克 减 ,从 而 更 利于 这 些 个 
人 数据 的 共享 与 利用 。 由 于 科学 研究 从 广义 上 包含 科 
学 数据 开放 共享 活动 ,科学 数据 开放 共享 可 以 更 好 地 
促进 科学 研究 ,所 以 ,GDPR 为 科学 或 历史 研究 目的 制 
定 的 相关 个 人 数据 保护 条 款 也 适用 于 科学 数据 的 开放 
共享 活动 。 


3 GDPR 对 科学 数据 开放 共享 个 
保护 的 作用 分 析 


7e 


TOMAR EA EEE, CDPR 既 可 直接 适用 
TEA KARSA R, NEA BIRK RA 
效 济 ,无 论 数据 处 理 行为 是 否 发 生 在 欧盟 境内 ,只 要 数 
据 歼 及 欧盟 内 的 数据 主体 就 要 受到 GDPR 的 规制 。 
GDPR 从 适用 范围 .数据 保护 原则 .数据 主体 权利 . 数 
所 党 制 者 与 处 理 者 的 责任 与 义务 跨 境 数据 传输 机 制 、 
殊 所 监管 机 构 、 行 政 处 罚 等 方面 构建 了 完整 的 个 人 数 
Alim 对 于 科学 数据 开放 共享 个 人 数据 保护 而 
POGDPR 的 作用 主要 体现 在 如 下 几 方 面 ; 
3.'T» 可 以 明确 个 人 数据 保护 的 基本 概念 与 保护 对 象 
jg 

(OGDPR 第 4 条 “定义 "界定 了 26 个 核心 概念 ,包括 
个 下 数据 处理、 限制 处 理 、 用 户 分 析 ( profiling) ,假名 
化 (Tseudonymisation ) .归档 系统 (filing system) 控制 
者 你 理 者 接收 者 第 三 方 .同意 .个 人 数据 泄露 .遗传 
数据 .生物 性 识别 数据 .和 健康 相关 的 数据 .主要 机 构 
( main establishment ) .代表 企业、 企业 集团 (group of 
undertakings) 有 约束 力 的 公司 规则 .监管 机 构 .相关 监 
管 机 构 . 跨 境 处 理 . 相 关 和 合理 的 异议 .信息 社会 服务 、 
国际 组 织 。 这 些 术 语 的 界定 为 科学 数据 开放 共享 个 人 
数据 保护 确立 了 一 些 核心 概念 与 基本 理念 。 例 如 ,把 
GDPR 定义 的 “个 人 数据 "概念 运用 到 科学 数据 开放 共 
享 中 ,这 时 个 人 数据 保护 不 仅仅 是 个 人 财产 权 数据 或 
人 格 权 数据 的 保护 ,更 不 是 狭义 的 个 人 隐私 数据 的 保 
护 ,而 是 广义 的 “与 已 识别 或 可 识别 的 自然 人 (“ 数 据 
主体 ”) 相关 的 任何 信息 ”的 保护 。“ 个 人 数据 "定义 明 
确 , 可 以 帮助 人 们 理解 科学 数据 开放 共享 中 的 个 人 数 
据 保 护 到 底 需 要 保护 哪些 与 个 人 相关 的 数据 。 
作为 一 部 个 人 数据 保护 法 ,CDPR 区 分 了 4 种 不 


人 数据 


同类 型 的 个 人 数据 一 一 个 人 数据 特殊 类 型 的 个 人 数 
yo 假名 化 数据 和 匿名 数据 。 在 CDPR 中 ,个 人 数据 概 
念 具 具有 广泛 的 范围 。 特 殊 类 型 的 个 人 数据 ,也 称 为 “ 敏 
感 个 人 数据 ” ,包括 :中 显示 种 族 或 族 裔 出 身 的 数据 ;@) 
BHALA ORARE ZEM OLSA R HR; OR 
传 数据 ;@ 生 物性 识别 数据 ;9 有关 健康 的 数据 ;@ 关 
于 性 生活 或 性 取向 的 数据 。 这 些 敏感 个 人 数据 对 数据 


主体 具有 更 高 程度 的 风险 ,一 般 是 禁止 处 理 的 ,只 有 在 
处 理 必须 有 合法 的 依据 且 处 理 符 合 GDPR 第 9 条 第 2 


款 所 列 的 10 种 特殊 条 件 之 一 下 才 被 允许 处 理 9。 个 
JU OE ei ga 
数据 再 归于 某 一 特定 数据 主体 的 方式 对 个 人 数据 的 处 

理 ,只 要 这 些 其 他 信息 被 分 开 保存 且 采 取 技 术 和 组 织 
措施 以 确保 个 人 数据 不 归于 已 识别 或 可 识别 的 自然 
人 。 假 名 化 个 人 数据 仍然 属于 GDPR 定义 的 个 人 数 
据 范 围 , 它 被 视 为 在 技术 和 组 织 措施 概念 下 的 一 种 安 
全 保障 ,但 这 些 技术 不 能 用 来 规避 依据 GDPR 的 遵守 
合 规 义 务 ”" 。GDPR 没有 对 匿名 数据 进行 定义 ,但 在 
其 法 释 的 第 26 条 明确 规定 :“ 数 据 保护 原则 不 应 适用 
于 匿名 信息 , 即 与 已 识别 或 可 识别 的 自然 人 无 关 的 信 
息 ,或 以 不 能 识别 或 不 再 识别 数据 主体 的 方式 匿名 的 
个 人 数据 。 因 此 ,本 条 例 不 涉及 处 理 此 类 匿名 信息 , 包 
括 用 于 统计 或 研究 目的 ”由 此 看 来 ,GDPR 适用 于 
假名 化 数据 ,而 不 适用 于 匿名 数据 。 这 就 意味 着 ,科学 
数据 开放 共享 中 的 假名 化 数据 应 该 按照 CDPR 来 进行 
处 理 , 而 处 理 匿 名 数据 不 会 触发 个 人 数据 保护 法 |。 
这 种 区 分 对 于 实施 科学 数据 开放 共享 个 人 数据 保护 具 
有 很 大 的 指导 意义 。 
3.2. ”可 以 明确 个 人 数据 保护 的 主要 原则 

GDPR 第 5 条 定义 了 如 下 个 人 数据 处 理 原 则 叫 
DEKHE 合理 性 和 透明 性 (对 涉及 到 数据 主体 的 个 人 
数据 ,应 当 以 合法 的 、 合 理 的 和 透明 的 方式 来 进行 处 
理 。@@ 目 的 限制 (为 特定 、. 明 确 和 合法 的 目的 收集 ,而 
不 是 以 不 符合 这 些 目的 的 方式 进一步 处 理 个 人 数据 ; 
为 了 公共 利益 的 存档 目的 、 科 学 或 历史 研究 目的 或 统 
计 目 的 而 进行 的 进一步 处 理 , 不 视 为 违反 初始 目的 )。 
@ 数 据 最 小 化 (个 人 数据 处 理应 当 是 充分 的 、 相 关 的 ， 
并 限于 与 处 理 它们 的 目的 相关 的 必要 内 容 )。@ 准 确 
性 (个 人 数据 应 当 是 准确 的 ,并 在 必要 时 保持 最 新 ; 考 
虑 到 处 理 这 些 数 据 的 目的 ,必须 采取 一 切合 理 手 段 , 确 
保 不 准确 的 个 人 数据 立即 被 擦 除 或 纠正 ) 。@ 存 储 限 
制 (对 于 能 够 识别 数据 主体 的 个 人 数据 ,其 储存 时 间 不 
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得 超过 为 处 理 个 人 数据 的 目的 所 必需 的 时 间 ; 个 人 数 
据 可 保存 较 长 的 时 间 , 只 要 个 人 数据 的 处 理 完全 是 为 
了 公共 利益 的 存档 目的 .科学 或 历史 研究 目的 或 统计 
目的 且 执 行 了 本 条 例 要 求 的 适当 技术 和 组 织 措施 来 保 
障 数据 主体 的 权利 和 自由 ) 。@ 完 整 性 与 保密 性 (处 
理 过 程 中 应 确保 个 人 数据 的 安全 ,采取 合理 的 技术 和 
组 织 措施 ,避免 数据 未 经 授权 即 被 处 理 或 遭 到 非法 处 
理 , 避 免 数 据 发 生意 外 毁损 或 灭失 ) 。 以 确保 个 人 数据 
适当 安全 的 方式 处 理 个 人 数据 ,包括 使 用 适当 的 技术 
或 组 织 措施 ,防止 未 经 授权 或 非法 处 理 ,防止 意外 损 
失 销毁 或 损坏 ) 。@ 责 任性 (数据 控制 者 应 负责 并 能 
够 证 明 遵 守 上 述 原则 ) ER 7 个 原则 同样 是 科学 数 
据 开放 共享 个 人 数据 保护 必须 遵循 的 主要 原则 ,因为 
AF. CDPR 对 处 理 的 广义 定义 ,为 科学 目的 转移 个 人 
数据 (包括 科学 数据 开放 共享 ) 被 视 为 一 种 处 理 形式 ， 
困 二 应 符合 CDPR 的 实质 性 规范 ” 。 换 句 话说 ,GD- 
P 放 确立 了 科学 数据 开放 共享 个 人 数据 保护 应 遵循 的 
EST NUM 

可 以 葛 定 个 人 数据 处 理 的 合法 性 基础 

存在 数据 处 理 的 合法 性 基础 既是 个 人 数据 处 理 的 
要 前 提 , 也 是 个 人 数据 保护 的 重要 保障 。CDPR 第 6 
Al 款 规定 了 6 项 数据 处 理 的 合法 性 基础 ,包括 数 
据 尘 体 的 同意 履行 合同 的 需要 履行 法 律 义务 的 需 
要 各 护 数据 主 体 或 另 一 个 自然 人 的 核心 利益 的 需要 、 
5 加 公共 利益 或 基于 官方 权威 而 履行 某 项 任务 的 需 
要 SS 和 求 合 法 利益 的 需要 。GDPR 第 6 条 第 2 至 4 款 更 
加 对 致 地 规范 了 第 1 款 数据 处 理 需 满足 的 条 件 。 这 些 
合 溪 性 基础 同样 为 科学 数据 开放 共享 中 的 个 人 数据 处 
理 提供 了 合法 .合理 的 依据 。 

第 一 ,对 于 科学 数据 开放 共享 而 言 ,取得 数据 主体 
的 同意 是 合法 处 理 个 人 数据 最 稳妥 、 最 基本 的 方式 。 
在 CDPR 中 ,数据 主体 的 “同意 "是 指数 据 主体 通过 声 
明 或 明确 的 肯定 行动 ,做 出 任何 自愿 .具体 知情 和 明 
确 的 同意 处 理 与 其 有 关 的 个 人 数据 的 意愿 表示 。 这 
一 定义 说 明 有 效 获取 数据 主体 的 同意 必须 同时 满足 
“自愿 “具体 ”“ 知 情 * 及 “明确 "等 条 件 ,也 就 是 说 , 数 
据 主体 的 “同意 "并 非 “广泛 同意 "。GDPR 第 6 条 (1) 
款 (a) 项 规定 ,如 果 “ 数 据 主体 已 同意 为 一 项 或 多 项 具 
体 目的 处 理 其 个 人 数据 ”, 则 可 合法 处 理 个 人 数据 ;而 
GDPR 第 9 条 (2) 款 (a) 项 规定 ,如 果 “ 数 据 主体 已 明确 
同意 为 一 项 或 多 项 具体 目的 处 理 这 些 个 人 数据 ”, 则 可 
合法 处 理 特殊 类 别 的 个 人 数据 。 换 名 话说 ,GDPR 要 


求 针对 一 般 个 人 数据 的 处 理 需 征 得 数据 主体 的 “无 争 
议 同 意 ”, 而 针对 敏感 个 人 数据 的 处 理 需 征 得 数据 主体 
的 “明确 同意 ”” 。2019 年 ,谷歌 因 违 反 GDPR 而 被 
法 国 国 家 信息 与 自由 委员 会 处 以 5 000 万 欧元 罚款 ， 
做 出 处 罚 的 主要 原因 是 谷歌 违反 了 控制 者 的 信息 披露 
义务 和 谷歌 未 有 效 取得 用 户 同 意 。 

第 二 ,除数 据 主体 的 “无 争议 同意 ”和 “明确 同意 ” 
是 个 人 数据 处 理 的 合法 性 基础 以 外 ,公共 利益 和 合法 
利益 也 是 在 科学 数据 开放 共享 过 程 中 处 理 个 人 数据 的 
法 律 依据 。 不 过 ,( 非 私营 ) 大 学 和 公共 研究 机 构 等 公 
共 当 局 在 执行 公共 任务 时 ,不 能 以 “合法 利益 ”为 依据 
而 须 在 法 律 授 权 的 情况 下 或 依靠 “符合 公共 利益 的 任 
务 或 行使 赋予 控制 者 的 官方 权力 ”作为 其 法 律 依据 , 进 
行 个 人 数据 处 理 ”” 。 

第 三 ,CDPR 为 与 科学 数据 开放 共享 紧密 关联 的 
二 次 数据 使 用 和 跨 境 数据 转移 提供 了 法 律 依据 。 通 
常 ,严格 的 “目的 限制 "原则 适用 于 “不 能 以 不 符合 最 
初 收集 和 处 理 个 人 资料 的 具体 和 合法 目的 的 方式 被 进 
一 步 处 理 的 个 人 数据 " 。 然 而 ,GDPR 第 5 条 (1) 款 (b) 
项 规定 ,为 科学 研究 目的 而 做 的 进一步 处 理 ,依据 GD- 
PR 第 89 条 (1 ) 款 ,不 得 视 为 与 最 初 的 数据 处 理 目 的 不 
相 容 。 这 意味 着 ,如 果 同 一 组 织 或 另 一 组 织 正 在 对 数 
据 进 行进 一 步 处 理 ( 即 二 次 使 用 ) , 则 有 一 种 可 反 驶 的 
推定 , 即 为 科学 研究 目的 进行 的 进一步 处 理 与 最 初 说 
明 的 处 理 目 的 (例如 ,为 了 医疗 诊断 ) 是 一 致 的 。 在 适 
用 的 成 员 国法 律 允许 的 情况 下 ,根据 第 89 条 (2) 款 , 科 
学 研究 例外 允许 的 对 数据 主体 权利 的 豁免 将 适用 于 这 
种 情况 。 这 实质 上 为 二 次 数据 使 用 及 其 开放 共享 商定 
了 法 律 基 础 。 
第 四 ,科学 数据 开放 共享 涉及 国际 (或 跨 境 ) 数据 
转移 问题 ,这 时 可 参考 GDPR 对 国际 数据 转移 的 规定 。 
依据 GDPR ,在 欧盟 以 外 合法 转移 个 人 数据 有 5 种 途 
径 :基于 适 足 性 决定 的 转移 (CDPR 第 45 条 ) ;@ 有 
适当 保障 措施 的 转移 (GDPR 第 46 条 ) ;@ 基 于 有 约束 
力 的 公司 规定 的 转移 (GDPR 第 47 条 ) ;@ 未 经 联盟 法 
律 授权 的 转移 或 披露 (GDPR 第 48 条 ) ;@@ 基 于 特殊 情 
形 下 豁免 的 转移 (GDPR 第 49 条)。 由 于 开放 共享 本 
身 包 含 数据 跨 境 转移 或 国际 转移 ,依据 GDPR ,数据 控 
制 者 必须 在 向 数据 主体 收集 个 人 数据 时 告知 数据 主 
体 ,控制 者 打算 将 这 些 个 人 数据 实施 开放 发 布 ,并 决定 
采取 哪 种 合适 的 途径 。 在 没有 适 足 性 决定 情况 下 ,如 
果 数 据 控制 者 或 处 理 者 有 适当 的 保障 措施 和 可 强制 执 
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行 的 数据 主体 权利 ,并 且 有 有 效 的 法 律 补 救 办 法 ,数据 
仍然 可 以 开放 发 布 或 转移 到 第 三 国 或 国际 组 织 。 
第 五 ,CDPR 第 89 条 为 实现 公共 利益 、 科 学 或 历 
史 研 究 或 统计 目的 的 个 人 数据 处 理 , 提 供 了 专门 的 “ 安 
全 保障 与 免责 ”规定 一 一 在 采取 保证 数据 最 小 化 原则 
的 技术 与 组 织 措施 (如 匿名 化 ) .保障 数据 主体 的 权利 
与 自由 的 前 提 下 , 当 数 据 主体 的 访问 权 、 修 正 权 、 限 制 
处 理 权 、 反 对 权 可 能 彻底 阻碍 或 严重 阻碍 实现 公共 利 
益 、 科 学 或 历史 研究 或 统计 目的 的 数据 处 理 时 ,可 以 铝 
免 上 述 数据 主体 的 权利 ,但 仅 当 这 种 豁免 是 实现 上 述 
目的 必 不 可 少时 中 。 也 就 是 说 ,在 为 科学 研究 目的 处 
理 个 人 数据 时 ,存在 一 些 例外 ,比如 ,并 不 总 是 需要 数 
据 主体 的 同意 ,而 是 其 他 合法 性 基础 ,如 合同 、 遵 守法 
GUI .公共 利益 或 控制 者 或 第 三 方 追 求 的 合法 利益 ; 
为 数据 的 保存 时 间 可 以 超过 处 理 所 需 的 时 间 等 c 。 
也 总 之 ,GDPR 通过 提供 6 项 数据 处 理 的 合法 性 基 
得 桂 别 是 对 “同意 ”二 次 数据 使 用 、 跨 境 数据 转移 、 
SEU SE D LP] Ch 4.) 的 明确 ,可 以 为 科学 数据 开放 
基本 中 的 个 人 数据 保护 提供 广泛 的 法 律 依据 。 

3 人 的 可 以 明确 数据 主体 的 主要 权利 

ON 数据 主体 是 指 其 个 人 数据 正在 被 收集 ,保存 或 处 
RHEA o GDPR 赋予 数据 主体 如 下 8 项 基本 的 
数据 权利 :中 知情 权 : 是 指数 据 控制 者 在 收集 与 数据 
渚 全 相关 的 个 人 数据 时 ,应当 告 知 数据 主体 ,包括 数据 
控制 者 的 身份 与 详细 联系 方式 ,数据 处 理 将 涉及 的 个 
人 数据 的 使 用 目的 ,以 及 处 理 个 人 数据 的 法 律 依据 等 ; 
G@ 跪 问 权 :是 指数 据 主体 有 权 从 数据 控制 者 那里 得 知 
关于 其 个 人 数据 是 否 正 在 被 处 理 的 真实 情形 ,如 果 其 
数据 正在 被 处 理 的 话 ,数据 主体 应 当 有 权 访 问 个 人 数 
据 并 有 权 获 知 相关 信息 ;@ 修 正 权 :是 指数 据 主体 有 权 
要 求 数据 控制 者 及 时 地 纠正 与 其 相关 的 不 准确 个 人 数 
据 ;@@ 撤 回 同意 权 : 是 指数 据 主体 有 撤回 先前 为 某 种 目 
的 处 理 其 个 人 数据 而 给 予 的 同意 并 要 求 数据 处 理 者 售 
止 根据 先前 提供 的 同意 处 理 个 人 数据 的 权利 ;@ 限 制 
处 理 权 : 是 指 在 特定 情况 下 ,数据 主体 有 权限 制 数据 控 
制 者 处 理 数据 ;@ 反 对 权 : 是 指数 据 主体 基于 合法 或 合 
理 的 原因 反对 数据 控制 者 对 其 个 人 数据 进行 处 理 的 权 
力 , 比 如 反对 因 直 接 营 销 目的 而 处 理 个 人 数据 .反对 非 
执行 公共 利益 的 某 项 任务 必 不 可 少 的 科学 或 历史 研究 
目的 或 统计 目的 而 进行 的 个 人 数据 处 理 ;@ 删 除权 (被 
遗忘 权 ) :是 指数 据 主体 有 权 要 求 数据 控制 者 及 时 删除 
或 擦 除 其 个 人 相关 数据 的 权利 ;@ 可 携带 权 : 是 指数 据 


主体 有 权 以 结构 化 .通用 和 机 器 可 读 的 格式 接收 其 提 
供给 数据 控制 者 的 相关 个 人 数据 ,并 有 权 将 这 些 数 据 
不 受 已 提供 个 人 数据 的 控制 者 的 阻碍 ,传输 给 男 一 个 
数据 控制 者 。 

在 科学 数据 开放 共享 活动 中 ,数据 主体 同样 拥有 
上 述 权利 ,也 就 是 说 ,必须 尊重 与 保护 上 述 数据 主体 权 
利 来 实施 科学 数据 开放 共享 中 的 个 人 数据 保护 。 例 
如 ,数据 可 携带 权 旨 在 平衡 数据 流动 的 自由 和 管制 ,使 
数据 主体 能 以 简明 方式 迁移 数据 并 更 好 地 控制 个 人 数 
据 。 它 由 两 项 相互 独立 的 请 求 权 构 成 , 即 数据 主体 获 
得 个 人 数据 的 权利 要求 数据 控制 者 和 处 理 者 向 其 他 
主体 提供 个 人 数据 的 权利 。 前 者 是 获取 个 人 数据 副本 
的 权利 ,后 者 是 将 个 人 数据 从 茶 一 控制 者 直接 传输 到 
另 一 控制 者 的 权利 ” 。 落 实数 据 主体 的 这 一 权利 是 
实施 科学 数据 开放 共享 的 关键 。 反 之 , 若 和 否定 数据 可 
携带 权 ,科学 数据 开放 共享 就 会 面临 许多 困境 与 障碍 。 
3.5 ”可 以 明确 数据 控制 者 与 处 理 者 的 主要 责任 和 义务 

GDPR 不 仅 明 确 了 数据 主体 的 主要 权利 ,而 且 界 
定 了 数据 控制 者 与 处 理 者 的 主要 义务 。 在 CDPR 中 ， 
数据 “控制 者 ”是 指 单独 或 与 他 人 共同 决定 处 理 个 人 
数据 的 目的 和 方法 的 自然 人 或 法 人 公共 机 构 、 其 他 机 
构 或 团体 ;如 果 这 种 处 理 的 目的 和 手段 是 由 欧盟 或 成 
员 国法 律 确定 的 ,那么 对 控制 者 的 定义 或 确定 控制 者 
的 标准 应 当 由 欧盟 或 成 员 国 的 法 律 来 规定 ;数据 “处 理 
者 ”是 指 代表 数据 控制 者 处 理 个 人 数据 的 自然 人 或 法 
人 .公共 机 构 .其 他 机 构 或 团体 ” 。 

依据 GDPR 规定 ,数据 控制 者 与 处 理 者 需要 承担 
一 些 共 同 的 义务 ,包括 :中 控制 者 和 处 理 者 应 当 配合 监 
管 机 构 的 工作 (GDPR 第 31 条 ) ;@ 控 制 者 和 处 理 者 应 
当 采 取 适 当 的 技术 与 组 织 措施 以 保证 与 风险 相称 的 安 
全 水 平 ( GDPR 第 32 条 1 款 ) ;@ 在 公共 机 构 处 理 操作 
或 处 理 需要 大 规模 地 对 数据 主体 进行 常规 和 系统 性 的 
监控 ,或 处 理 包含 对 茶 种 特殊 类 型 数据 的 大 规模 处 理 
和 对 定罪 和 违法 相关 的 个 人 数据 的 处 理 时 ,控制 者 和 
处 理 者 应 当 委 任 数据 保护 官 (GDPR 第 37 条 1 款 ); 
同 控 制 者 和 处 理 者 应 当 支 持 数据 保护 官 履行 其 责任 ， 
并 提供 必要 资源 (CDPR 第 38 条 2 球 )。 

除 此 之 外 ,数据 控制 者 还 要 履行 如 下 义务 :中 控制 
者 应 当 对 数据 主体 行使 其 权利 提供 帮助 (GDPR 第 12 
条 2 款 ) ;@ 当 收集 与 数据 主体 相关 的 个 人 数据 时 , 控 
制 者 应 当 为 数据 主体 提供 相关 信息 ,如 控制 者 的 身份 
与 详细 联系 方式 .数据 保护 官 的 详细 联系 方式 、 处 理 将 
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要 涉及 到 的 个 人 数据 的 目的 .个 人 数据 的 接收 者 等 
(GDPR 第 13 条 1 款 ) ;@ 除 特殊 情况 以 外 ,控制 者 有 
责任 应 数据 主体 的 合理 要 求 及 时 擦 除 个 人 数据 ( CDPR 
第 17 条 1 款 ) ;@ 控 制 者 应 当 采 取 适当 的 技术 与 组 织 
措施 ,保证 处 理 符合 GDPR 规定 (GDPR 第 24 条 1 
SO ;@ 控 制 者 需 采 取 适 当 的 技术 与 组 织 措施 ,以 保障 
在 默认 情况 下 只 有 某 个 特定 处 理 目的 所 必要 的 个 人 数 
据 被 处 理 (GDPR 第 25 条 2 款 ) ;@ 每 个 控制 者 都 应 当 
保持 其 所 负责 的 处 理 活动 的 记录 (GDPR 第 30 条 1 
款 ) ;控制 者 在 知悉 个 人 数据 汇 露 后 应 当 及 时 ( 最 述 
在 72 小 时 内 ) 将 个 人 数据 泄露 告知 相关 主管 监管 机 构 
( GDPR 第 33 条 1 款 ) ;@ 当 个 人 数据 泄露 很 可 能 给 自 
然 人 的 权利 与 自由 带 来 高 风险 时 ,控制 者 应 当 及 时 向 
数据 主体 传达 个 人 数据 泄露 (GDPR 第 34 条 1 款 ) ;@ 
当 全 种 类 型 的 处 理 很 可 能 会 对 自然 人 的 权利 与 自由 带 
Ag XU RE ,控制 者 应 当 在 处 理 之 前 评估 计划 的 处 理 
进程 对 个 人 数据 保护 的 影响 (CDPR 第 35 条 1 款 ) ;四 
当 问 据 保护 影响 评估 表明 ,如 果 控制 者 不 采取 措施 ,处 
理 祭 带 来 高 风险 时 ,控制 者 应 当 在 处 理 之 前 咨询 监管 
栅 构 (CDPR 第 36 条 1 款 )。 

人 另外 ,数据 处 理 者 还 要 履行 的 义务 包括 :每 个 处 
理 者 对 于 以 控制 者 名 义 进 行 的 处 理 都 应 当 保 持 保存 一 
ll i SE GDPR 第 30 条 2 款 ) ;@ 处 理 者 在 获知 个 人 数 
据 沿 露 后 ,应 当 及 时 告知 控制 者 (GDPR 第 33 条 2 


总 之 ,数据 控制 者 和 处 理 者 有 义务 遵守 GDPR 的 
各 项 原则 及 规定 ,包括 需要 承担 保障 数据 主体 权利 采 
取 技术 和 组 织 措施 .处理 记录 保存 .数据 泄漏 通知 ` 数 
据 保护 影响 评估 等 多 种 义务 。 由 于 在 科学 数据 开放 共 
享 中 ,科学 数据 生产 者 (如 研究 人 员 ,研究 机 构 .图 书 情 
报 机 构 数据 中 心 .出 版 社 其 他 企业 .政府 等 ) ,组织 
(如 图 书 情报 机 构 ,数据 中 心 政府 等 ) ,发布 者 或 出 版 
者 (如 研究 人 员 .研究 机 构 、 图 书 情报 机 构 , 行 业 协 会 、 
出 版 社 、 其 他 企业 、 政 府 等 ) .传播 者 (如 图 书 情报 机 
构 ,数据 中 心 .行业 协会 .出 版 社 其 他 企业 、 政 府 等 ) 、 
管理 者 (如 图 书 情报 机 构 .数据 中 心 . 出 版 社 、 其 他 企 
业 政府 等 )" ,都 可 能 成 为 数据 控制 者 或 处 理 者 ,所 
以 GDPR 有 助 于 明确 利益 相关 者 在 科学 数据 开放 共享 
个 人 数据 保护 中 的 责任 和 义务 ,并 提供 法 律 保障 。 


4 GDPR 对 我 国 科 学 数据 开放 共享 个 人 
数据 保护 的 启示 


综 上 所 述 ,CDPR 主要 从 适用 范围 数据 保护 原 


则 ,数据 处 理 的 合法 性 基础 ` 数 据 主体 的 权利 、 控 制 者 
及 处 理 者 的 义务 等 方面 在 整个 欧盟 建立 起 统一 的 数据 
保护 法 律 框架 ,不 仅 为 欧盟 内 外 的 个 人 数据 保护 提供 
了 法 律 保障 ,而 且 较 好 地 维持 了 个 人 数据 保护 与 科学 
数据 开放 共享 之 间 的 平衡 。 它 可 以 为 我 国 科学 数据 开 
放 共 享 个 人 数据 保护 提供 如 下 借鉴 与 启示 : 
4.1 建立 健全 我 国 个 人 数据 保护 法 律 体系 

为 有 效 实施 我 国 科 学 数据 开放 共享 中 的 个 人 数据 
保护 ,关键 在 于 建立 健全 我 国 个 人 数据 保护 法 律 体系 。 
目前 ,我 国 尚未 制定 专门 的 个 人 数据 保护 法 ,与 个 人 数 
据 保 护 的 法 律 法 规 及 相关 文件 主要 有 :《 信 息 安 全 技术 
公共 及 商用 服务 信息 系统 个 人 信息 保护 指南 《刑法 
修正 案 ( 九 )》《 侵 权 责 任 法 《消费 者 权 益 保 护法 》《 关 
于 加 强 网 络 信息 保护 的 决定 《规范 互联 网 信息 服务 
市 场 秩序 若干 规定 《电信 和 互联 网 用 户 个 人 信息 保 
护 规定 兴 网 络 安全 法 兴 民 法 总 则 兴 信息 安全 技术 个 
人 信息 安全 规范 《科学 数据 管理 办 法 》 以 及 将 于 2021 
年 1 月 1 日 开始 实施 的 《民法 典 ) 等 。 虽然 最 新 的 《 民 
法 典 ) 制 定 了 “自然 人 的 个 人 信息 受 法 律 保护 ”条 款 ， 
要 求 “ 处 理 个 人 信息 ,应 当 遵 循 合 法 、 正 当 、 必 要 原则 ， 
不 得 过 度 处 理 , 并 符合 下 列 条 件 :中 征 得 该 自然 人 或 其 
监护 人 同意 ,但 法 律 . 行 政法 规 另 有 规定 的 除外 ;@ 公 
开 处 理 信息 的 规则 ;@@ 明 示 处 理 信 息 的 目的 方式 和 范 
围 ; 四 不 违反 法 律 、 行 政法 规 的 规定 和 双方 的 约 
XE" UV 但 是 ,对 照 GDPR ,我 国 现 有 规定 存在 如 下 不 
足 “-” ,不同 法 律 文本 对 相同 或 相似 内 容 的 用 语 和 
规定 不 统一 .边界 不 清 ,存在 交叉 重复 ,不 利于 权利 义 
务 设置 的 互相 衔接 和 行使 中 协调 一 致 。@) 规 制 的 义务 
主体 不 全 面 ,未 特别 强调 容易 泄露 的 行为 主体 。@ 义 
务 条 目 与 内 容 过 于 原则 ,不 够 具体 、 明 确 和 凝练 ;关于 
泄露 的 规定 针对 性 不 强 、 细 化 不 足 。 轩 隐私 权 与 数据 
保护 权 之 间 没 有 正式 区 别 开 来 。@ 没 有 为 个 人 提供 正 
式 和 可 利用 的 司法 补救 办 法 。 因 此 ,我 国 应 该 建立 健 
全 我 国 个 人 数据 保护 法 律 体系 ,包括 :@ 尽 快 出 台 《 个 
人 信息 保护 法 《数据 安全 法 》, 不 仅 全 面 保护 个 人 数 
据 的 存储 和 使 用 ,而 且 还 将 为 个 人 提供 访问 权 、 修 正 权 
和 被 遗忘 的 数据 主体 权利 ,并 引入 责任 模式 ” ,从 适 
用 范围 数据 保护 原则 数据 处 理 的 合法 性 基础 数据 
主体 权利 .控制 者 及 处 理 者 的 义务 等 方面 确立 个 人 数 
据 保护 的 法 律 框架 。@ 制 定 专门 的 科学 数据 管理 与 开 
放 共享 办 法 ,明确 数据 主体 对 其 个 人 数据 所 拥有 的 数 
据 权利 ,如 知情 权 \ 访 问 权 ,修正 权 、 删 除权 、 限 制 处 理 
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权 数据 可 携带 权 ` 反 对 权 等 ,详细 规范 个 人 数据 的 处 
理 与 开放 共享 行为 。2019 年 2 月 11 日 ,中 国 科学 院 
(以 下 简称 中科院 ” ) 率先 在 国内 制定 了 系统 内 的 规 
范 性 文件 一 《中国 科学 院 科 学 数据 管理 与 开放 共享 
办 法 (试行 )》。 该 办 法 明确 了 科学 数据 开放 共享 主体 
责任 .科研 项 目 数据 汇 交 要 求 ,建立 了 论文 关联 数据 汇 
交 机 制 ,规划 了 中 科 院 科学 数据 中 心 * ,但 未 规范 与 
个 人 数据 保护 相关 的 数据 权利 ,很 难 有 效 指导 与 实施 
科学 数据 开放 共享 中 的 个 人 数据 保护 。 正 因为 如 此 ， 
今后 国内 其 他 机 构 应 该 把 个 人 数据 保护 纳入 本 单位 科 
学 数据 管理 与 开放 共享 办 法 中 ,以 便 实现 促进 科学 数 
据 的 开放 共享 和 有 效 保护 个 人 数据 的 双重 目的 。 

4.2. 加强 科学 数据 开放 共享 中 个 人 数据 的 风险 管理 
TZ CDPR 以 风险 为 导向 ,将 个 人 数据 保护 的 义务 和 
足 御 转移 到 数据 控制 者 与 处 理 者 身上 ,为 数据 控制 者 
环 理 者 设 定 了 多 项 义务 ,包括 执行 数据 浴 露 通知 和 
数据 保护 影响 评估 设置 数据 保护 官制 度 等 ,不 仅 可 以 
KAIA ,识别 风险 与 应 对 风险 ,而 且 可 以 更 好 地 
便 膏 数据 主体 权利 ” 。 因 此 ,在 我 国 科学 数据 开放 共 
豪 辜 人 数据 保护 过 程 中 ,特别 是 当 数 据 处 理 方式 可 能 


矣 期 的 处 理 操作 进行 个 人 数据 保护 影响 评估 。 这 
种 昭 估 可 按照 数据 处 理 、 高 风险 识别 .咨询 数据 保护 
管束 数据 主体 ,制作 数据 处 理 操作 清单 .事后 复审 的 
流 筷 来 进行 所] 。 不 过 ,数据 保护 影响 评估 过 程 不 是 
一 软 性 活动 ,而 是 在 处 理 条 件 和 情况 发 生变 化 时 , 特 
别 是 在 数据 主体 权利 和 自由 面临 风险 的 情况 下 , 数 
JE BIA E SERA BEBE TR ilU 。 这 时 ,开展 科学 
数据 开放 共享 的 机 构 ( 如 政府 部 门 、 研 究 机 构 、 图 书 
情报 机 构 .数据 中 心 .出 版 社 .其 他 企业 等 ) 需 要 设置 
与 任命 数据 保护 官 ,以 便 监管 数据 控制 者 或 处 理 者 
对 于 个 人 数据 保护 政策 的 遵守 情况 .参与 数据 保护 
影响 评估 提供 咨询 与 建议 等 ,从 而 为 个 人 数据 保护 
提供 安全 保障 。 
4.3 ”搭建 动态 关联 、 可 跟踪 的 科学 数据 开放 共享 系统 
GDPR 赋予 了 数据 主体 极为 系统 且 完 整 的 数据 权 
利 , 要 求 数据 控制 者 必须 采取 积极 的 措施 以 尽 可 能 地 
保障 权利 。 然 而 ,由 于 数据 控制 者 与 处 理 者 的 风险 管 
理 能 力 与 认 知 能 力 存在 差异 ,因此 很 难 达到 一 致 且 高 
水 平 的 数据 保护 状态 。 又 因为 数据 控制 者 与 接收 者 的 
使 用 目的 与 方式 往往 不 同 , GDPR 无 法 解决 科学 数据 
开放 共享 后 的 个 人 数据 失控 问题 。 例 如 ,数据 主体 行 


使 删除 权时 ,控制 者 虽然 会 采取 一 定 措施 通知 数据 接 
收 者 ,但 其 无 法 保证 删除 权 的 真正 实现 。 目 前 我 国 的 
科学 数据 开放 共享 基础 设施 还 不 健全 ,难以 将 科学 数 
据 开放 共享 中 的 个 人 数据 保护 保持 在 较 高 的 水 平 ,应 
考虑 搭建 动态 关联 可 跟踪 的 科学 数据 开放 共享 系统 ， 
包括 专用 的 开放 关联 的 科学 数据 共享 平台 动态 的 科 
学 数据 开放 共享 登记 系统 .禁止 数据 接收 者 进行 数据 
再 识别 和 追踪 数据 使 用 者 的 机 制 , 从 而 实现 科学 数据 
开放 共享 与 个 人 数据 保护 的 完美 结合 。 
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| Purpose/ significance | This paper provides reference for the protection of personal data in the 

cess of open sharing of scientific data in China by analyzing the relevant provisions of the European Union’ s Gen- 
Cera Data Protection Law (GDPR). | Method/process | Using text analysis method, this paper reviewed the resear- 
thes of GDPR and personal data protection, and analyzed the applicabilities of and the functions of GDPR to personal 


a protection in open sharing of scientific data and its enlightenments to China. | Result/conclusion | GDPR has 


Xi 


全 ny normative functions for the personal data protection in open sharing of scientific data, including defining the 
Sic concepts of personal data protection and the scope of protection objects, the main principles, the main rights of 
-fre data subjects, the main responsibilities and obligations of the data controllers and processors, and laying the legit- 

imacy foundation of personal data processing. GDPR' s enlightenment to China is that we should establish and perfect 

the legal system of personal data protection in China, strengthen the risk management of personal data in open sharing 
of scientific data, and build a dynamic and traceable open sharing system of scientific data, so as to realize the pro- 
tection of personal data in open sharing of scientific data in China. 
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